美国厨具商“OXO”披露其网站遭MageCart 攻击

美国厨具商“OXO”披露其网站遭MageCart 攻击

美国厨具制造商OXO International近日披露一个跨越长达两年的数据泄露,研究人员认为是遭到了MageCart攻击。MageCart一直是众多电商网站一颗拔不掉的刺,英国航空公司门票销售门户特马捷(TicketMaster)、消费电子产品巨头Newegg、以及Feedify等都不堪其扰。

MageCart 攻击是使用已知的服务器漏洞进入网站,注入卡片支付代码,并在攻击者控制的服务器上提取信用卡号、名称和安全码,通常一次持续数月。

美国厨具商“OXO”披露其网站遭MageCart 攻击

图表1 MageCart 生态

研究人员Yonathan Klijnsma一直追踪此类攻击。其表示主要有六个组织从事此类攻击:第1组最早从2014年开始,针对上千个网站和托管恶意软件、存储收集数据的一次性服务器;第2组和第3组拓展了其攻击范围,是针对支付提供商;第4组利用分散的方法取得了超过3000个被黑客攻击网站中获取尽可能多的卡片信息;第5组是通过点击第三方代码提供商(如客户服务聊天框)进行供应链攻击,这些代码提供商安装在数千个站点上,携带恶意软件;第6组为高度选择性的攻击,仅针对主要参与者,如英国航空公司和消费电子产品巨头Newegg等。

OXO International在加利福尼亚州数据泄露通知中表示在2017年6月9日-11月28日、2018年6月8日-2018年6月9日及2018年7月20日-10月16日期间,其服务器遭泄露,攻击者的目标是得到客户和支付等信息,研究人员发现至少有一次攻击为试图窃取客户信息的MageCart 攻击。

美国厨具商“OXO”披露其网站遭MageCart 攻击

此次攻击中,攻击者向网站结账页面注入脚本,目的是窃取客户填写在页面表格里的如信用卡详情和地址等数据,而后发送到一个远程网站上,再由攻击者进行管理。

2017年6月9日 Archive.org snapshot ,结账页面的源代码显示一个JavaScript 脚本从https://js-cloud.com/js/static.js上加载到了页面。

美国厨具商“OXO”披露其网站遭MageCart 攻击

图表2 注入JavaScript 脚本

该脚本目前已不复存在,研究人员是在 VirusTotal上面将其找到。在检查该脚本内容时,可看到这是个 MageCart脚本,专为窃取oxo.com客户的支付和联系信息而设。

如下图所示,该表的目的是为窃取信用卡信息和客户信息,如账单地址、邮箱和电话号等。

美国厨具商“OXO”披露其网站遭MageCart 攻击

图表3 支付信息

美国厨具商“OXO”披露其网站遭MageCart 攻击

图表4 客户信息

信息收集好后,会发往远程URLhttps://js-cloud.com/gate.php上面,攻击者可用来检索数据。

美国厨具商“OXO”披露其网站遭MageCart 攻击

图表5 发送数据到远程服务器

其他泄露指标

研究人员在Archive.today 上还发现了另一张oxo.com网站2018年12月12日的截图,其源代码显示的是俄罗斯https://top.mail.ru/ 网站的追踪服务被加到了该结账页面中。

美国厨具商“OXO”披露其网站遭MageCart 攻击

图表6 Top.mail.ru 追踪脚本

一个美国的公司,虽说不犯法,但不用谷歌分析、转而使用俄罗斯分析服务真的不会很怪吗?且该脚本允许任何有Top.mail.ru的人都能了解oxo.com 网站访问者的信息。

原创文章,作者:Gump,如若转载,请注明出处:http://www.mottoin.com/news/134004.html

发表评论

登录后才能评论

联系我们

021-62666911

在线咨询:点击这里给我发消息

邮件:root@mottoin.com

工作时间:周一至周五,9:30-18:30,节假日休息

QR code